區塊鏈技術的物聯網應用安全體系

北京中電普華信息技術有限公司 閆 丹 陳渲穎 王 瑩

北京城市排水集團基建管理分公司 王蘭帥

針對當前物聯網應用的現狀、相關的安全問題，引入了基于區塊鏈的物聯網應用的架構體系。首先介紹了區塊鏈技術介紹的相關概念，引入了基于區塊鏈的物聯網應用的架構體系，論述了其整體架構設計、關鍵技術和功能結構設計。該產品在區塊鏈的基礎上實現了物聯網平臺的全過程，區塊鏈以物聯網為基礎打造基礎架構，并通過去中心化的技術特點解決物聯網中日益嚴重的安全問題。

物聯網是新一代信息技術的高度集成和綜合運用，對新一輪產業變革和經濟社會綠色、智能、可持續發展具有重要意義。物聯網技術發展引導了全球信息基礎設施的演進路徑，推動了傳統產品、設備、流程和服務向數字化、網絡化和智能化發展。隨著物聯網的發展和應用，我們發現物聯網也面臨著種種的挑戰和痛點。

（1）在設備安全方面，終端數量龐大、種類繁多，網絡架構的缺陷使得這些設備很容易受到攻擊。

（2）在個人隱私方面，重點表現在目前的架構體系無法自證明凈，個人隱私數據特別容易被黑可攻擊而泄露。

（3）架構僵化，目前的物聯網數據流都匯總到單一的中心控制系統，隨著低功耗廣域技術的持續演進，可以預見的是，未來物聯網設備將呈幾何級數增長，中心化服務成本難以負擔。

（4）傳輸通信，各個物聯網之間協議、標準、平臺等的不一致，導致形成設備的接入是物聯網發展的額難點和痛點。

1 區塊鏈技術

1.1 區塊鏈技術的特點

區塊鏈是一種去中心化、不可篡改、可追溯、多方共同維護的分布式數據庫，可在互不了解的多方間建立可靠的信任，在沒有第三方中介機構的協調下，劃時代地實現了可信的數據共享和點對點的價值傳輸，包括分布式賬本、非對稱加密和授權技術、共識機制、智能合約等技術。

隨著傳統業務發展相關需求的提出，出現業務與數據海量化趨勢，極大增加了數據管理難度，制約了相關業務的創新發展。傳統的中心化管理模式已不能滿足需求，因此國內外許多研究機構已經將區塊鏈技術作為新的解決方案。

1.2 區塊鏈架構

區塊鏈主要有三個分層結構，分別是協議層、擴展層和應用層。

協議層進一步分成了存儲層和網絡層，包含了底層數據區塊以及基礎數據、基本算法等；網絡層：包含組網方式、數據傳播機制和數據驗證機制等。擴展層進一步劃分為合約層和激勵層，主要的功能是基于區塊鏈的擴展和開發，讓區塊鏈的使用更方便、靈活和實用；激勵層就是指制定一些相關的制度和措施，保障參與節點參與區塊鏈安全的建設和維護；合約層包含有腳本代碼、算法、側臉應用、智能合約等。應用層是與實際業務有關，指區塊鏈的根據業務的落地和場景。

1.3 基于區塊鏈的物聯網安全的解決方案

區塊鏈技術的不可篡改、安全、可溯源、零知識證明技術能為設備間大規模協作提供去中心化的解決思路，解決了物聯網發展中亟待解決的技術需求，并且物聯網終端設備的分散化無疑也為去中心化的架構供給了最佳的發揮空間。

物聯網安全是個棘手的問題，僅保證個人設備的安全是不夠的，還必須保護設備在連接方式、網絡、可擴展的安全。鑒于區塊鏈技術的應用可增強物聯網的安全性，使得區塊鏈在該領域的應用成為可能。

（1）設備認證方面，目前設備接入物聯網是通過驗證白名單的方式進行的。白名單采用中心化的方式存儲，存在被篡改的風險。利用區塊鏈技術，構建安全的設備身份認證系統，身份權限管理和多方共識有助于識別非法節點，及時阻止惡意節點的接入和作惡。

圖1 總體架構圖

（2）擴展能力方面，現有的物聯網架構采用中心化的架構，但隨著物聯網的大規模推廣應用，使用場景日益復雜化，該模式可能難以承載海量設備。利用區塊鏈“去中心化”機制，可以把設備接入、管理、協議轉換等能力下放置邊緣物聯代理，并將物聯代理和物管平臺通過區塊鏈串起來，物管平臺僅控制核心內容或做備份使用，物聯代理為各業務范圍內設備服務，通過靈活的協作模式和相關的共識機制完成原核心節點的內容，隨著網絡擴展能力更強大，可保障保護物聯網設備的數據不被篡改，網絡的安全、可信運行。

（3）數據安全方面，物聯網是一個開放性的網絡，任何設備都是可以接入的，且接受的數據也是雙向的。區塊鏈技術可以解決物聯網的安全問題，傳輸的到區塊鏈上的數據，需要通過處理身份驗證的方式來進行訪問，保障了數據的安全。

（4）某終端設備被攻擊后，將會導致整個物聯網系統的崩潰或癱瘓。利用區塊鏈技術，將平臺權利下放，并對網關進行升級，將網關用區塊鏈連接起來，共同監控、標識和處理設備的網絡活動，保障并提升網絡安全。

2 基于區塊鏈的物聯網應用的安全體系架構設計

2.1 整體架構

基于區塊鏈的物聯網應用的安全體系架構，其所處外部環境的總體架構分為感知層、網絡層、業務與應用支撐層、應用層。感知層主要功能是數據收集；網絡層利用各種網絡傳輸，將從感知層的獲取的各類信息傳輸到應用層；應用層就是處理功能，該層就是將物聯網技術與行業領域結合，從而實現廣泛領域的物物互聯的應用解決方案，具體如圖1所示。

業務與應用支撐層包含物聯管理平臺、物聯網區塊鏈的支撐平臺。物聯管理平臺處于平臺層，部署在云平臺上，在業務架構中的定位是管道，打通應用層、平臺層、感知層三層之間的數據通信，物聯管理平臺負責感知層的邊設備、端設備的接入，接收邊、端設備上報的數據，以及對設備下發控制命令，對邊緣物聯代理進行設備管理等工作，并將設備上報的業務數據導入到數據中臺，對業務主站開放接口，供主站讀取設備的業務數據、告警信息，并下發設備的控制命令。物聯網區塊鏈支撐平臺主要提供區塊鏈技術相關的存儲、共識、加密、交易、合約和身份等方面的支撐能力，包含區塊鏈網絡運行所需要的基礎環境和組件，如數據存儲、運行容器等，包含用于物聯網設備身份認證共識、訪問控制策略執行、數據隱私保護等的核心區塊鏈功能，包含用于區塊鏈接入訪問授權、節點管理、賬本管理、跨鏈管理等服務。

2.2 關鍵技術

2.2.1 共識支撐能力

基于區塊鏈的物聯網應用的體系中，共識機制建立了一個能保證隱私、安全和無需信任的交易的去中心化的、不斷拓展的通用物聯網。共識支撐能力指算法的選擇和怎樣運用等功能。在共識形成過程中，相關節點都會分布式計算交易的合法性并且將結果跟其他節點共識達成一致，物聯網的智能設備不參與計算，只進行數據的加密和傳輸，并且把數據傳輸作為交易向整個區塊鏈廣播。運行智能合約交互處理區塊鏈與共識的相關事務，進行區塊節點的一致性處理和網絡層事務的交互。

2.2.2 設備安全能力

物聯網區塊鏈的設備安全能力包括對設備鑒權和設備追蹤，應用的身份、通信、私有數據等方面的加密技術。物聯網區塊鏈可以支持身份與許可管理，也支持匿名交易。

在該體系架構下，設備工作之前通過身份鑒定獲得系統的識別和鑒定，整個鑒定過程不需要借助第三方設備和技術來實現，進一步提升了鑒定的效率，保障了數據的準確性，同時保障了數據的安全且有不可偽造的特征，所以在進行傳輸和交易的過程中，通過區塊鏈技術，實現唯一記錄的功能，這樣就能夠更好地保護數據安全。同時，區塊鏈技術可長期對設備進行監督和管理，如果物聯網中的數據信息出現了異常情況，區塊鏈技術就會立刻通過數據保護程序來發放相應的指令，防止信息的泄露，阻擋網絡病毒和黑客的攻擊。

2.2.3 網絡自治管理

物聯網區塊鏈應用之間通過點對點網絡協議相互通信，利用P2P網絡中的網絡設備節點對物聯網接入設備進行鑒權，并進行互聯，并且構建基于本地和云端的數據存儲倉庫。

基于區塊鏈的物聯網安全體系架構，設備作為輕節點存在，利用區塊鏈實現數據的分布式傳輸和不可逆的加密處理。經過模擬研究，該架構可擴展，能有效解決物聯網設備無法滿足區塊鏈算力需求和賬本存儲的問題，保障了物聯網之中數據的準確性和安全性就會起到更好的保障作，

2.3 系統功能結構設計

基于區塊鏈的物聯網業務平臺，是“去中心化”的。該體系架構保證了參與的實體基于“去中心化”的特點相互協作，保障功能的正常進行。

在該架構下，物聯網業務平臺中的參與方之間相互獨立。應用、業務、設備作為業務平臺的組成部分，共同提供物聯網服務。此外，在“去中心化”工作模式下，不再考慮參與者是在系統側還是在終端側。不同類型的物聯網業務平臺可以建立在相同或不同的通信底層基礎設施（例如，網絡、云、大數據、安全、管理等）上。

結語：本文結合傳統物聯網應用和區塊鏈相關技術的分析，闡述了目前物聯網應用的現狀、相關的安全問題、區塊鏈技術介紹、基于區塊鏈的物聯網應用的架構體系、關鍵技術和功能結構。基于區塊鏈的物聯網應用的安全體系架構利用區塊鏈的數據不可篡改、不可偽造、可追蹤可溯源，系統架構去中心化等特性，保障了物聯網的安全性和可擴展性，還支持異構系統的兼容，并且基于區塊鏈的物聯網應用的體系不只是技術上的匹配，還衍生出了無限的商業可能。